Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi




Download 7,38 Mb.
Pdf ko'rish
bet52/90
Sana15.12.2023
Hajmi7,38 Mb.
#119638
1   ...   48   49   50   51   52   53   54   55   ...   90
Bog'liq
Тармоқ хавфсизлиги 16 шрифт

DHCP server
Komutator
Rogue
Host
11.1-rasm. DHCP Snooping uchun yaratilgan topologiya 
Bu muammoning yechimlardan biri bu DHCP Snooping deb 
nomlangan komutatorning funksiyasini sozlash. 
DHCP Snooping - bu qabul qilinmaydigan deb topilgan DHCP 
trafigini oʻchirib tashlaydigan real tarmoq komutatorining operatsion 
tizimiga oʻrnatilgan 2-darajali xavfsizlik texnologiyasi. DHCP 
Snooping, DHCP mijozlariga IP-manzillarni taklif qiladigan notoʻgʻri 
DHCP-serverlarning oldini oladi.
DHCP Snooping funksiyasi quyidagilarni amalga oshiradi: 
1. Kommutatorning barcha portlari DHCP serverlari ulangan 
ishonchli(trusted) va ishonchsiz (untrusted) portlarga boʻlinadi; 
2. DHCP serverlari (DHCP Offer, Ack, Nack, LeaseQuery) 
tomonidan yuborilgan va ishonchsiz portlarga kelgan xabarlar bekor 
qilinadi; 
3. Ishonchsiz portlarga yetib kelgan DHCP xabarlari, 
joʻnatuvchining MAC manziliga toʻgʻri kelmaydigan MAC manzilini 
oʻz ichiga oladi
4. Ishonchsiz portga yetib kelgan va 82-variantni oʻz ichiga 
olgan DHCP xabarlari bekor qilinadi; 


144 
5. DHCP Discover xabarlari faqat ishonchli portlarga 
yuboriladi. 
DHCP mijozi IP-manzilni dinamik ravishda olish jarayonida 
DHCP snooping mijoz va server oʻrtasida DHCP paketlarini tahlil 
qiladi va filtrlaydi. DHCP snoopingni toʻgʻri konfiguratsiyasi 
ruxsatsiz serverlarni filtrlashni amalga oshiradi, mijozlarga ruxsatsiz 
DHCP-server tomonidan taqdim etilgan manzillarni olishdan va 
ularning tarmoqqa kirishini oldini oladi. Tarmoqda ruxsatsiz DHCP-
server hujumlari sodir boʻlayotgan boʻlsa, DHCP kuzatuvidan 
foydalanish mumkin. 
DHCP snoopingni komutatorga joylashtirish tavsiya etiladi. 
DHCP snooping kompyuterga yaqinroq komutatorga oʻrnatilganda 
interfeysni boshqarish toʻgʻri boʻladi. Har bir komutator interfeysi 
faqat bitta kompyuterga ulangan boʻlishi kerak. Agar ma'lum bir 
interfeys hub orqali bir nechta shaxsiy kompyuterlarga ulangan boʻlsa, 
hubda sodir boʻlgan DHCP snooping hujumlarini oldini olish mumkin 
emas, chunki snooping paketlari toʻgʻridan-toʻgʻri kontsentrator 
interfeyslari oʻrtasida uzatiladi va kirish komutatoriga oʻrnatilgan 
DHCP snooping funksiyasi bilan boshqarib boʻlmaydi. 
DHCP Snoopingni faqat simli tarmoq foydalanuvchilar uchun 
qoʻllasa boʻladi. Kirish qatlami xavfsizligi xususiyati sifatida, asosan, 
DHCP tomonidan xizmat koʻrsatiladigan VLANga kirish portlarini 
oʻz ichiga olgan har qanday komutatorda yoqiladi. DHCP Snoopingni 
oʻrnatishda himoya qilmoqchi boʻlgan VLANda DHCP Snoopingni 
yoqishdan oldin ishonchli portlarni (DHCP-serverning tegishli 
xabarlari oʻtadigan portlarni) sozlash kerak. Bu CLIda ham, veb-
interfeysda ham amalga oshirilishi mumkin. CLI buyruqlari DHCP 
Snooping konfiguratsiyasida FS S3900 seriyali komutatorlarida 
berilgan. 

Download 7,38 Mb.
1   ...   48   49   50   51   52   53   54   55   ...   90




Download 7,38 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

Download 7,38 Mb.
Pdf ko'rish